Meilleure protection DDoS

1. Bouclier de projet

2. Cloudflare

3. Bouclier AWS

4. Microsoft Azure

5. Verisign DDoS Protection

Lisez la suite pour notre analyse détaillée de chaque service

En octobre 2016, le fournisseur de services DNS Dyn a été frappé par une attaque de type DDoS (Distributed Denial of Service) par une armée d'appareils IoT piratés à cette fin. Plus de 14 000 domaines utilisant les services de Dyn ont été saturés et sont devenus inaccessibles, y compris de grands noms comme Amazon, HBO et PayPal..

Selon une étude menée par Cloudflare, le coût moyen des défaillances d’infrastructure pour les entreprises est de 100 000 USD par heure. Comment alors pouvez-vous vous assurer que votre organisation ne sera pas victime de ce type d'attaque? Dans ce guide, vous découvrirez les principaux fournisseurs d’infrastructure disposant de la puissance numérique nécessaire pour se protéger contre les attaques conçues pour saturer la capacité de votre réseau..

Vous découvrirez également quels fournisseurs peuvent offrir une protection contre les attaques d'applications plus sophistiquées (couche 7), qui peut être réalisée sans un grand nombre d'ordinateurs piratés (parfois appelé réseau de botnet)..

  • Nous avons également mis en avant les meilleurs services d'hébergement Web de 2018

Bouclier de projet

1. Bouclier de projet

Protection puissante contre les attaques DDoS de Google, mais tous ne sont pas invités

Exploite l'infrastructure de Google Configuration très simple Uniquement disponible pour certains sites Web

Project Shield est la création de Jigsaw, une filiale de Google, Alphabet. Le développement a débuté il y a plusieurs années sous George Conard à la suite d'attaques contre la surveillance électorale et les sites Web relatifs aux droits de l'homme en Ukraine.

Project Shield est capable de filtrer le trafic malveillant potentiel en agissant en tant que proxy inverse se trouvant entre un site Web et Internet au sens large, filtrant les demandes de connexion. Si une connexion semble provenir d'un visiteur légitime, Project Shield autorise la demande de connexion. Si une demande de connexion est jugée mauvaise, par ex. plusieurs tentatives de connexion à partir de la même adresse IP, celle-ci est bloquée. Ce système rend Project Shield extrêmement facile à mettre en œuvre en modifiant simplement les paramètres DNS de vos serveurs. Google propose un excellent guide étape par étape sur la configuration.

Tous les utilisateurs avertis en lecture peuvent se demander comment le filtrage du trafic via un proxy fonctionnera avec SSL. Heureusement, Jigsaw a pensé à cela et a mis en place un tutoriel complet pour s'assurer que les connexions sécurisées vers votre site fonctionnent de manière transparente..

Actuellement, Project Shield est uniquement disponible pour les sites Web des médias, de surveillance des élections et des droits de l'homme. L’accent est également mis sur les petits sites Web sous-financés qui ne peuvent pas se permettre des solutions d’hébergement coûteuses pour se protéger des attaques DDoS. Si votre organisation ne répond pas à ces exigences, vous devrez peut-être envisager une autre solution, telle que Cloudflare..

  • Vous pouvez vous inscrire à Project Shield ici

Cloudflare

2. Cloudflare

Le mastodonte de la protection DDoS

Chef de file des solutions DoS Le niveau gratuit inclut une protection de base Les forfaits professionnels sont relativement coûteux

Quiconque a utilisé Internet au cours des dernières années se familiarisera avec Cloudflare, étant donné que de nombreux sites Web utilisent sa protection. Bien que Cloudflare soit basé aux États-Unis, il gère 150 centres de données dans le monde entier: une infrastructure comparable à celle de Google. Cela maximise les chances de vos sites de rester en ligne.

Chaque utilisateur de Cloudflare peut choisir d'activer le mode «Je suis attaqué», qui peut protéger contre les attaques de déni de service les plus sophistiquées en présentant un défi Javascript. De manière routinière, Cloudflare agit également comme un proxy inverse entre les visiteurs et l’hôte de votre site pour filtrer le trafic de la même manière que le Project Shield de Jigsaw..

Les visiteurs qui font des demandes de connexion doivent exécuter un gant de filtres sophistiqués, notamment la réputation du site, si leur IP est sur liste noire et si l'en-tête HTTP semble suspect. Les requêtes HTTP sont empreintes de doigt pour se protéger contre les réseaux de zombies connus. En tant que géant du secteur, Cloudflare peut facilement tirer parti de sa position en partageant des informations sur les 7 millions de sites Web qu’il gère..

Cloudflare propose un package de base gratuit qui inclut une atténuation non mesurée des attaques DDoS. Pour ceux qui sont disposés à payer pour un abonnement professionnel Cloudflare (les prix commencent à 200 $ ou 149 £ par mois), une protection plus avancée est disponible, telle que le téléchargement de certificats SSL personnalisés..

  • Vous pouvez vous inscrire à Cloudflare ici

Bouclier AWS

3. Bouclier AWS

Excellente atténuation DDoS de base avec plus encore

Le niveau gratuit standard protège contre les attaques les plus courantes. Configuration facile Le niveau avancé est très coûteux.

La protection AWS Shield est fournie par les personnes compétentes des services Web Amazon. Le niveau «Standard» est disponible pour tous les clients AWS sans frais supplémentaires. C'est idéal car de nombreuses petites entreprises choisissent d'héberger leurs sites Web avec Amazon. AWS Shield Standard est disponible pour tous les clients sans frais supplémentaires. Il protège contre les attaques de réseau (couche 3) et de transport (couche 4) plus typiques lors de l'utilisation des services Cloud Front et Route 53 d'Amazon..

Cela devrait rebuter tous les hackers, sauf les plus déterminés. Cependant, votre bande passante, par exemple 15 Gbp / s seront toujours limités par la taille de votre instance Amazon, ce qui permettra aux pirates informatiques de mener une attaque par déni de service s'ils disposent de ressources suffisantes. Pire encore, vous restez responsable du paiement du trafic supplémentaire vers votre instance..

Pour atténuer cela, Amazon propose également AWS Shield Advanced. Un abonnement inclut une protection des coûts contre les attaques DDoS, ce qui peut vous éviter une forte hausse de votre facture d'utilisation mensuelle si vous êtes victime d'une attaque. AWS Shield Advanced peut également déployer vos listes de contrôle d'accès (ACL) à la frontière du réseau AWS, vous offrant ainsi une protection contre les plus grandes attaques..

Les abonnés avancés bénéficient également d'un DRT (équipe de réponse DDoS) 24 heures sur 24, ainsi que de statistiques détaillées sur les attaques éventuelles de vos instances. L’esprit offert par AWS Shield Advanced est toutefois coûteux. Vous devez être prêt à vous abonner pour un minimum d'un an au prix de 3 000 $ (2 200 £) par mois. Cela s'ajoute aux coûts d'utilisation du transfert de données que vous pouvez couvrir sur une base de "paiement au fur et à mesure".

  • Vous pouvez vous inscrire à AWS Shield ici

Microsoft Azure

4. Microsoft Azure

Une protection de base brillante avec un niveau abordable et payé

La protection standard est extrêmement facile à configurer. Atténuation automatisée des menaces. Protection DDoS générale pour toutes les ressources.

Comme Amazon, Microsoft offre la possibilité de louer des espaces de service via leur service Azure. Tous les membres bénéficient d'une protection de base contre les attaques DDoS. Les fonctionnalités incluent toujours la surveillance du trafic et l'atténuation en temps réel des attaques de réseau (couche 3) pour toutes les adresses IP publiques que vous utilisez. Il s'agit du même type de protection que celui offert aux services en ligne de Microsoft. L'ensemble des ressources du réseau Azure peut être utilisé pour absorber les attaques DDoS..

Pour les entreprises ayant besoin d'une protection plus sophistiquée, Azure propose également un niveau «Standard». Cela a été largement salué pour être très facile à activer, ne nécessitant que quelques clics de souris. Plus important encore, Azure ne vous oblige pas à modifier vos applications, bien que le niveau standard offre une protection contre les attaques DDoS par les applications (couche 7) via le pare-feu des applications Web de la passerelle des applications. Le moniteur Azure peut vous montrer des statistiques en temps réel si une attaque a lieu. Ceux-ci sont conservés pendant 30 jours et peuvent être exportés pour un complément d'étude si vous le souhaitez..

Azure vérifie en permanence le trafic Web sur vos ressources. Si ceux-ci dépassent un seuil prédéfini, l'atténuation des attaques DDoS est automatiquement lancée. Cela inclut l’inspection des paquets pour s’assurer qu’ils ne sont pas mal formés ou usurpés, ainsi que l’utilisation de la limitation de débit..

La protection standard est actuellement de 2 944 USD (2 204 £) par mois, plus des frais de transmission de données pour un maximum de 100 ressources. La protection s'applique également à toutes les ressources. En d'autres termes, vous ne pouvez pas personnaliser les mesures d'atténuation des attaques DDoS..

  • Vous pouvez vous inscrire à Microsoft Azure ici

Protection DDoS de Verisign

5. Verisign DDoS Protection

La meilleure protection contre les attaques DDoS par les vétérans de la sécurité

Facile à configurer via DNS Des centres de scrutation dédiés pour se protéger contre les attaques Peut être déployé sur site Maîtriser l'interface nécessite du temps

Verisign est presque aussi vieux que l'Internet lui-même. Depuis 1995, elle est passée d’une simple autorité de certification à un acteur majeur du secteur des services réseau..

La protection DDoS de Verisign fonctionne dans le cloud. Les utilisateurs peuvent choisir de rediriger les tentatives de connexion en modifiant simplement leurs paramètres DNS (Domain Name Server). Le trafic est envoyé à Verisign pour vérification afin d’empêcher les attaques du réseau. Verisign analyse tout le trafic en profondeur avant de le rediriger.

Étant donné que Verisign exploite deux des 13 serveurs de noms de routes mondiaux, il n’est donc pas surprenant que l’organisation gère également plusieurs "centres de nettoyage" DDoS dédiés. Ceux-ci analysent le trafic et filtrent les demandes de connexion incorrectes. L’infrastructure combinée atteint presque 2 To / s et peut bloquer même les attaques DDoS les plus accablantes.

Ceci est en grande partie réalisé via Athena, la plate-forme d'atténuation des menaces de Verisign. Athena est largement divisée en trois éléments. Le «bouclier» filtre les attaques de réseau (couche 3) et de transport (couche 4) via DPI (inspection approfondie de paquets), les listes noires et les listes blanches et la gestion de la réputation de site. Le "proxy" Athena inspecte les en-têtes HTTP à la recherche de mauvais trafic lors des tentatives de connexion initiales. Le "proxy" et le "bouclier" sont pris en charge par "l'équilibreur de charge" d'Athena, qui aide à prévenir les attaques d'applications (couche 7)..

Le portail client affiche des rapports détaillés sur le trafic et vous permet de configurer votre gestion des menaces, par exemple en créant des listes noires de connexions. Verisign propose également OpenHybrid aux utilisateurs qui sont réticents à tout déployer vers le nuage et qui peut être installé sur site..

  • Vous pouvez vous inscrire à Verisign DDoS Protection ici

Crédit d'image: Wikimedia Commons (Antoine Lamielle)